Durante la instalación de un sistema SAP, se crean de forma automática 3 usuarios por defecto. Estos usuarios no se deben de borrar y hay  que bloquearlos siguiendo los pasos siguientes para protegerlos de un mal uso. En el siguiente artículo vamos a explicar de manera sencilla cómo bloquear los usuarios maestros de SAP, paso a paso.

Los tres usuarios que se crean durante la instalación de SAP son los isguientes:

Definir un super usuario propio y desactivar SAP*

Crear un usuario en la transacción SU01 y asignarle el perfil SAP_ALL. Una vez creado, acceder al sistema con él. Para desactivar SAP*, navegar a la transacción RZ10 e importar los perfiles del sistema.

Despues, seleccionar el perfil de instancia y modificar la actualización ampliada.

Hay que crear el parámetro login/no_automatic_user_sapstar y poner el valor 1.

Tomar el valor, guardar y activar el perfil.

Al salir, se muestra un mensaje advirtiendo que hasta que no se reinicie la instancia no se tomaran los valores. En este punto y una vez reiniciado, el usuario estará bloqueado.

Cambiar la contraseña por defecto de los usuarios DDIC y EARLYWATCH

Desde la transacción SU01 modificar la contraseña por defecto en los distintos mandantes que existan estos usuarios

Bloquear los usuarios DDIC y EARLYWATCH

Desde la transacción SU01 bloquear los usuarios en los distintos mandantes y solo desbloquearlos cuando sea necesario

Por último, se puede ejecutar el programa RSUSR003 en la transacción SE38 para visualizar el estado de todos los usuarios de sistema en los distintos mandantes.

Con estas indicaciones nuestros sistemas estarán un poco mas seguros de posibles intrusiones indeseadas.

Fuente